新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 業(yè)界動態(tài) > “安全讓一切變得簡單”賦能嵌入式開發(fā)人員,快速實現(xiàn)歐盟新法合規(guī)

“安全讓一切變得簡單”賦能嵌入式開發(fā)人員,快速實現(xiàn)歐盟新法合規(guī)

作者:IAR Systems 時間:2022-12-15 來源:電子產(chǎn)品世界 收藏

歐盟委員會于 2022 年 9 月公布了一項新的《網(wǎng)絡(luò)韌性法案》提案,對與互聯(lián)網(wǎng)連接的智能設(shè)備(包括智能音箱、家用電器、工業(yè)控制、自動化系統(tǒng)等)提出了新的網(wǎng)絡(luò)安全要求。所謂“網(wǎng)絡(luò)韌性”是指,系統(tǒng)從災(zāi)難中快速響應(yīng),恢復(fù)到正常狀態(tài)的能力,以保證系統(tǒng)隨時可安全使用。這項立法涵蓋的范圍很廣,可能比五年前實施的GDPR影響更大:違者將被處以1500萬歐元或全球年營業(yè)額2.5%的罰款。

本文引用地址:http://butianyuan.cn/article/202212/441648.htm

預(yù)計《網(wǎng)絡(luò)韌性法案》將對數(shù)字系統(tǒng)的設(shè)計、開發(fā)、部署和生命周期管理產(chǎn)生重大影響,對設(shè)備制造商也提出了巨大挑戰(zhàn)——制造商需要對產(chǎn)品整個生命周期的安全性負責(zé)。新的《網(wǎng)絡(luò)韌性法案》適用于所有通過網(wǎng)絡(luò)連接暴露在風(fēng)險中的物聯(lián)網(wǎng)(IoT)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備:惡意攻擊者可能會對系統(tǒng)造成影響,進入信息技術(shù)(IT)或運營技術(shù)(OT)系統(tǒng),然后通過勒索軟件實施控制,或竊取關(guān)鍵知識產(chǎn)權(quán)。

歐盟的《網(wǎng)絡(luò)韌性法案》提案,主要內(nèi)容包括:

●   在推出帶有數(shù)字組件的產(chǎn)品或軟件時,有統(tǒng)一的規(guī)則

●   提供一個管理產(chǎn)品規(guī)劃、設(shè)計、開發(fā)和維護等網(wǎng)絡(luò)安全要求的框架,在價值鏈每個階段的相關(guān)方都要履行義務(wù)

●   在此類產(chǎn)品的整個生命周期中,相關(guān)方都有義務(wù)負責(zé)到底

鑒于該法案提案在產(chǎn)品法規(guī)適用性、產(chǎn)品價值鏈和整個產(chǎn)品生命周期上設(shè)計制造商都要承擔(dān)相應(yīng)的義務(wù),同時也存在著相應(yīng)的風(fēng)險。因此,中國的嵌入式系統(tǒng)開發(fā)商不僅要對此予以高度重視,而且還需要借助專業(yè)的機構(gòu)和完善的工具來幫助自己盡快、盡可能全面地實現(xiàn)合規(guī)。

image.png

作為全球領(lǐng)先的嵌入式系統(tǒng)開發(fā)工具和服務(wù)供應(yīng)商, Systems很早就認(rèn)識到安全性在嵌入式系統(tǒng)中的重要性,不僅為客戶提供了一套完整的MCU功能開發(fā)工具,同時也為客戶提供一套完整的嵌入式安全解決方案,以快速實施網(wǎng)絡(luò)安全措施,并應(yīng)對當(dāng)前和未來的監(jiān)管挑戰(zhàn)。

為此, Systems也和物聯(lián)網(wǎng)安全基金會(IoT Security Foundation)緊密合作,在制定和研究“最佳實踐”方面發(fā)揮了重要作用,并且由此開發(fā)了一個覆蓋嵌入式系統(tǒng)全生命周期的安全解決方案:通過“安全讓一切變得簡單 (Security Made Simple)”方法理論,以及嵌入式安全解決方案(如Embedded Trust和Secure Deploy),從產(chǎn)品設(shè)計之初便部署安全解決方案,幫助企業(yè)去提高開發(fā)人員的生產(chǎn)力和實現(xiàn)最佳安全實踐,且對現(xiàn)有開發(fā)流程、生產(chǎn)幾乎沒有影響,并支持對全生命周期的管理。

IAR Systems——今天的交付如何保障未來的安全?

近十年來,IAR Systems 致力于參與制定重要的法規(guī)、立法和最佳實踐。作為物聯(lián)網(wǎng)安全基金會的創(chuàng)始成員,IAR Systems一直處于制定最佳實踐的前沿,這些最佳實踐已成為保障消費電子產(chǎn)品安全的法規(guī)的基礎(chǔ),并已被英國政府(DCMS)、歐盟(ETSI)、美國(NIST)和全球其他國家采納為法規(guī)。毫無疑問,最佳實踐和立法的演變對安全解決方案的發(fā)展產(chǎn)生了重大影響。

IAR Systems 的安全解決方案在實現(xiàn)“安全讓一切變得簡單”方面起到了革命性的推動作用,這種方法突破了復(fù)雜的系統(tǒng)要求,使企業(yè)能夠在產(chǎn)品的設(shè)計、生產(chǎn)和生命周期管理等階段快速建立有韌性的網(wǎng)絡(luò)安全能力。

其獨特之處在于,IAR Systems 的解決方案將安全從一個“產(chǎn)品問題”轉(zhuǎn)變?yōu)橐粋€面向業(yè)務(wù)的可擴展平臺,所有利益相關(guān)者都可以通過這個平臺輕松地實施和管理安全,確保能夠保護企業(yè)、客戶和最終消費者,以抑制惡意軟件,防止知識產(chǎn)權(quán)被竊取,并為安全物聯(lián)網(wǎng)的構(gòu)建打下良好基礎(chǔ)。

IAR Systems提供的網(wǎng)絡(luò)安全支持

IAR Systems 的安全解決方案可幫助制造商證明自己能夠承擔(dān)一套明確的義務(wù),減少工作量,支持現(xiàn)有的開發(fā)和生產(chǎn)流程,以及協(xié)助完成生命周期管理任務(wù),包括更新、投用和報廢。要實現(xiàn)這樣的安全性合規(guī)能力,IAR Systems的工具和支持可以發(fā)揮巨大的作用,包括以下關(guān)鍵因素和方法:

覆蓋全生命周期階段

Embedded Trust 和 Secure Deploy 是 IAR 嵌入式安全解決方案的核心產(chǎn)品,旨在支持規(guī)劃、設(shè)計、開發(fā)、生產(chǎn)、交付和維護階段的網(wǎng)絡(luò)安全。IAR Systems 已經(jīng)開發(fā)了重要的合規(guī)性培訓(xùn)方案,以支持企業(yè)了解新法案對其產(chǎn)品的潛在影響,并縮短采取行動的時間。在關(guān)鍵的設(shè)計階段,如識別和支持信任根、安全啟動管理器和身份識別標(biāo)準(zhǔn),對于設(shè)計和開發(fā)階段,IAR Systems 將提供指導(dǎo),并大幅簡化了創(chuàng)建一個強大安全環(huán)境的流程。

記錄網(wǎng)絡(luò)安全風(fēng)險

Embedded Trust 產(chǎn)品中包含的自動化工具將簡化識別關(guān)鍵的網(wǎng)絡(luò)安全風(fēng)險,并將對策集成到 OEM 解決方案中。通過與行業(yè)最佳實踐保持一致并實施保證框架,企業(yè)可以輕松確定整個生命周期面臨的威脅和可能的緩解措施。

及時報告漏洞和安全事件

一般來說,在產(chǎn)品的整個生命周期中都會發(fā)現(xiàn)漏洞,這就需要企業(yè)及時推送補丁和補救措施。因此,企業(yè)需要制定和實施適合其自身情況的漏洞報告策略。同時,版本控制和健壯的發(fā)布流程也對管理生命周期和更新發(fā)布至關(guān)重要。諸如Embedded Trust和IAR Embedded Workbench等產(chǎn)品就可提供先進的版本控制,包括版本管理、版本加密、數(shù)字簽名和防回滾,因此能夠在發(fā)布新版本后,及時退役先前的版本。

處理漏洞

如果發(fā)現(xiàn)并披露了漏洞,必須將補救設(shè)備的補丁和更新傳輸?shù)皆O(shè)備中。這個過程有三個關(guān)鍵環(huán)節(jié),而 IAR Systems 正好開發(fā)了相應(yīng)的解決方案以提供支持,其中包括:

●   創(chuàng)建具有正式版本控制和管理版本回滾保護的更新。這可以防止攻擊者利用社會媒介攻擊,讓用戶將設(shè)備“降級”到有已知問題的軟件版本。此外,必須根據(jù)破壞的潛在嚴(yán)重程度來創(chuàng)建所有的更新。因此,更新的加密和簽名可能是針對整個產(chǎn)品系列的設(shè)備、低風(fēng)險的應(yīng)用,或?qū)ι兄卮箫L(fēng)險或會造成金錢損失的個別設(shè)備,如電表。Embedded Trust 為大多數(shù)用例提供了可擴展的配置。

●   通過簡單的配置選項來啟動設(shè)備更新能力。一些開發(fā)者希望限制更新能力來管理成本,而其他開發(fā)者則需要更多的更新槽和恢復(fù)機制。假設(shè)更新將被加密到設(shè)備更新槽,但開發(fā)者應(yīng)該調(diào)整實現(xiàn)。在此過程中,簡單是關(guān)鍵,而工具是否靈活也是如此。

●   鑒于數(shù)字資產(chǎn)和最終用戶配置呈現(xiàn)的高度分散性,如何將更新傳輸?shù)皆O(shè)備成為了關(guān)鍵。這一領(lǐng)域的進步由云連接來更新和驅(qū)動,如亞馬遜 AWS 和微軟 Azure。針對這兩種情況,IAR Systems 安全解決方案都能夠輕松集成到云服務(wù)中。這確保了設(shè)備的編程和配置具有云服務(wù)可以利用和支持更新框架的憑證。

清晰易懂的說明

隨著時間的推移,涌現(xiàn)了許多保護物聯(lián)網(wǎng)設(shè)備、IT 和 OT 安全的方法和實踐。這讓開發(fā)者難以找到合適的解決方案。利用 IAR Systems 提供的以工具為導(dǎo)向方法,開發(fā)者現(xiàn)在可通過實施面向統(tǒng)一連接的更新和管理來整合眾多方法。如此一來,開發(fā)者就能以類似的方式處理通過以太網(wǎng)、Wi-Fi、藍牙或其他媒介提供的更新。

融入開發(fā)流程

更新和補丁已經(jīng)成為保障數(shù)字系統(tǒng)安全的標(biāo)準(zhǔn)要求,因此它必須成為標(biāo)準(zhǔn)開發(fā)流程的一個組成部分,持續(xù)發(fā)布版本。這就需要與現(xiàn)代工作流程配合的解決方案,來整合持續(xù)集成和持續(xù)部署技術(shù)。將安全方案與 IAR Systems 領(lǐng)先的 CI/CD 開發(fā)工作流程相結(jié)合,可以實現(xiàn)靈活和長期的補丁發(fā)布機制。

image.png

總結(jié)

通過以上的分析可以看到:歐盟新推出的《網(wǎng)絡(luò)韌性法案》提案給嵌入式系統(tǒng)開發(fā)企業(yè)和開發(fā)人員在面向歐盟市場開發(fā)和推廣產(chǎn)品時帶來了新的挑戰(zhàn),但是IAR Systems通過把網(wǎng)絡(luò)安全功能的開發(fā)與嵌入式系統(tǒng)的開發(fā)完美地結(jié)合在一起,并提供了完整的理論方法和實現(xiàn)工具,從而可以幫助開發(fā)企業(yè)應(yīng)對挑戰(zhàn)和實現(xiàn)合規(guī)。

“IAR的嵌入式安全解決方案整合了我們在網(wǎng)絡(luò)安全方面的全部經(jīng)驗和專業(yè)知識,我們隨時為全球客戶提供這種‘安全讓一切變得簡單’,”IAR Systems首席技術(shù)官Anders Holmberg說道?!皩ξ覀兊目蛻魜碚f,在安全工具上的投資很快就會得到回報:他們可以向最終客戶提供值得信賴的、很快上市的產(chǎn)品和應(yīng)用程序,也可以更好地保護其研發(fā)投資,并以加密方式保護其寶貴的知識產(chǎn)權(quán)?!?span style="text-align: center;">



關(guān)鍵詞: 嵌入式開發(fā)人員 IAR

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉